MALWARE ?? ishost.exe + ismini.exe nicht zu löschen

#0
08.11.2006, 12:29
...neu hier

Beiträge: 1
#1 Problembeschreibung

Von vornherein will ich erstmal sagen dass ich das erste mal hier poste und bisschen durcheinander bin also entschuldigt wenn ich was falsch mache XD
Habe schon einige Threads drüber gelesen
allerdings treten bei mir teils andere Symptome auf...
Am anfang hatte ich auch Virusbursters installiert XD
Allerdings habe ich das sofort unter Systemsteuerung---> Software deinstalliert. (ist auch nicht wiedergekommen)
Danach bin ich auf Hijackthis und habe mir meine Probleme angeschaut...
(Logfile habe ich nicht mehr)
Es waren glaub ich 4 Dateien ... 2 konnte ich löschen nur ishost.exe und ismini.exe sind noch da..
Das übliche symptom in der Taskleiste mit dem Gelben Dreieck mit ausrufezeichen ist nun nicht mehr da...
Allerdings is das mit dem Fragezeichen abwechselnd gelbem X noch da (das manchmal aufpopt und eine Meldung gibt)
Ein weiteres Symptom ist, dass wenn ich offline bin mein arcor buttler sich öffnet und sich ins internet wählt !
Ich war anschließend auf www.virusscan.Jotti.org und habe dort gesehen dass die Dateien mit Antivir erkannt werden
Also habe ich mein AntiVir geupdated und wie schon geahnt erkannte es diese Dateien nun konnte sie aber genauso wenig löschen!
Habe jetzt ein neues Hijackthis Logfile erstellt (siehe unten)
Cleanup auch schon erledigt! (Tolles Prog!)
Was mach ich nun ?

Jotti Malware Scan

Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: -

AntiVir Trojan/Dldr.Zlob.auv gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Trojan.Downloader.Zlob-1359 gefunden
Dr.Web Trojan.Popuper gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Puper!tr gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Zlob.auv gefunden
NOD32 Win32/TrojanDownloader.Zlob.AIA gefunden
Norman Virus Control Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 MalwareScope.Downloader.Zlob.1 gefunden


Hijackthis Logfile

Logfile of HijackThis v1.99.1
Scan saved at 21:03:34, on 07.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ishost.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Gemeinsame Dateien\{6078F13D-04AB-1031-0811-030918010031}\Update.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ismini.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\Test\LOKALE~1\Temp\Rar$EX00.858\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra 'Tools' menuitem: Absolute Poker - {13C1DBF6-7535-495c-91F6-8C13714ED485} - C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Absolute Poker\Absolute Poker.lnk
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {A672558F-A878-4D5A-A921-627C091CEB60} (Flatcast Producer 4.15) - http://data.flatcast.com/NpFp415.dll
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://data.flatcast.com/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{C4BEC4AC-4FD6-4C8C-ABAB-B78DA0188A65}: NameServer = 195.50.140.250 195.50.140.114
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: MsgPlusLoader.dll
O21 - SSODL: archenteric - {d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3} - C:\WINDOWS\system32\impgsje.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE



Combofix Logfile


Test - 06-11-07 21:15:23,16 Service Pack 2
ComboFix 06.10.19 - Running from: "C:\Dokumente und Einstellungen\Test\Desktop"

((((((((((((((((((((((((((((((((((((((((((((( Look2Me's Log ))))))))))))))))))))))))))))))))))))))))))))))))))

REGISTRY ENTRIES REMOVED:

[HKEY_CLASSES_ROOT\clsid\{75F6EA37-62CF-4D1B-8FD6-CC3E92B60454}]
@=""

[HKEY_CLASSES_ROOT\clsid\{75F6EA37-62CF-4D1B-8FD6-CC3E92B60454}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{75F6EA37-62CF-4D1B-8FD6-CC3E92B60454}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{75F6EA37-62CF-4D1B-8FD6-CC3E92B60454}\InprocServer32]
@="C:\\WINDOWS\\system32\\PA_PMP_TR_sdk_r.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{1287CD61-018A-43B6-B0CD-0BA898F0A780}]
@=""

[HKEY_CLASSES_ROOT\clsid\{1287CD61-018A-43B6-B0CD-0BA898F0A780}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{1287CD61-018A-43B6-B0CD-0BA898F0A780}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{1287CD61-018A-43B6-B0CD-0BA898F0A780}\InprocServer32]
@="C:\\WINDOWS\\system32\\mgls31.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{7041FE81-00C5-4D0F-894E-1C82C3633731}]
@=""

[HKEY_CLASSES_ROOT\clsid\{7041FE81-00C5-4D0F-894E-1C82C3633731}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{7041FE81-00C5-4D0F-894E-1C82C3633731}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{7041FE81-00C5-4D0F-894E-1C82C3633731}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{7C46E1D4-651B-4267-8855-AF81EAD22BDF}]
@=""

[HKEY_CLASSES_ROOT\clsid\{7C46E1D4-651B-4267-8855-AF81EAD22BDF}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{7C46E1D4-651B-4267-8855-AF81EAD22BDF}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{7C46E1D4-651B-4267-8855-AF81EAD22BDF}\InprocServer32]
@="C:\\WINDOWS\\system32\\mvc40.dll"
"ThreadingModel"="Apartment"

[HKEY_CLASSES_ROOT\clsid\{553F6EB7-BD3C-4F0D-A630-7874603F154F}]
@=""

[HKEY_CLASSES_ROOT\clsid\{553F6EB7-BD3C-4F0D-A630-7874603F154F}\Implemented Categories]
@=""

[HKEY_CLASSES_ROOT\clsid\{553F6EB7-BD3C-4F0D-A630-7874603F154F}\Implemented Categories\{00021492-0000-0000-C000-000000000046}]
@=""

[HKEY_CLASSES_ROOT\clsid\{553F6EB7-BD3C-4F0D-A630-7874603F154F}\InprocServer32]
@="C:\\WINDOWS\\system32\\guard.tmp"
"ThreadingModel"="Apartment"

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *


FILES REMOVED:

C:\WINDOWS\system32\aFd.dll
C:\WINDOWS\system32\aopmgr.dll
C:\WINDOWS\system32\aqpmgmts.dll
C:\WINDOWS\system32\bahserv.dll
C:\WINDOWS\system32\bptsprx2.dll
C:\WINDOWS\system32\c200lcdm1f0a.dll
C:\WINDOWS\system32\cbmdlg32.dll
C:\WINDOWS\system32\cdgbkend.dll
C:\WINDOWS\system32\cjadmin.dll
C:\WINDOWS\system32\cjprops.dll
C:\WINDOWS\system32\cmedui.dll
C:\WINDOWS\system32\cytdll.dll
C:\WINDOWS\system32\czgmgr32.dll
C:\WINDOWS\system32\cZtsrvut.dll
C:\WINDOWS\system32\damodemx.dll
C:\WINDOWS\system32\dgound.dll
C:\WINDOWS\system32\DMLIX.dll
C:\WINDOWS\system32\dmound.dll
C:\WINDOWS\system32\dnsec.dll
C:\WINDOWS\system32\dpnmpntw.dll
C:\WINDOWS\system32\drmsrpcn.dll
C:\WINDOWS\system32\dt16gt.dLL
C:\WINDOWS\system32\dtvmgr.dll
C:\WINDOWS\system32\dunput8.dll
C:\WINDOWS\system32\dztrans.dll
C:\WINDOWS\system32\e4jm0e11eh.dll
C:\WINDOWS\system32\eatmgr.dll
C:\WINDOWS\system32\ebs.dll
C:\WINDOWS\system32\en48l1hu1.dll
C:\WINDOWS\system32\en8ul1l91.dll
C:\WINDOWS\system32\enl8l13u1.dll
C:\WINDOWS\system32\enpsl1771.dll
C:\WINDOWS\system32\eqtmgr.dll
C:\WINDOWS\system32\fhamebuf.dll
C:\WINDOWS\system32\fp2m03f1e.dll
C:\WINDOWS\system32\fp6603jse.dll
C:\WINDOWS\system32\fpps0377e.dll
C:\WINDOWS\system32\fpsrch.dll
C:\WINDOWS\system32\ft20deu.dll
C:\WINDOWS\system32\fte.dll
C:\WINDOWS\system32\fvntext.dll
C:\WINDOWS\system32\h6j4lg1q16.dll
C:\WINDOWS\system32\hr2u05f9e.dll
C:\WINDOWS\system32\hrl6053se.dll
C:\WINDOWS\system32\i2lo0c33ef.dll
C:\WINDOWS\system32\idxwan.dll
C:\WINDOWS\system32\iqetpp.dll
C:\WINDOWS\system32\irp2l57o1.dll
C:\WINDOWS\system32\isclass.dll
C:\WINDOWS\system32\ivagx5.dll
C:\WINDOWS\system32\iVssdo.dll
C:\WINDOWS\system32\ixp2l57o1.dll
C:\WINDOWS\system32\izsecsvc.dll
C:\WINDOWS\system32\iZsrecst.dll
C:\WINDOWS\system32\izsutil.dll
C:\WINDOWS\system32\j4j60e1seh.dll
C:\WINDOWS\system32\jfde.dll
C:\WINDOWS\system32\jhbexec.dll
C:\WINDOWS\system32\jkbexec.dll
C:\WINDOWS\system32\JOVALE.DLL
C:\WINDOWS\system32\k080lalm1dqa.dll
C:\WINDOWS\system32\k4260efseh260.dll
C:\WINDOWS\system32\kcdsf.dll
C:\WINDOWS\system32\kddpl1.dll
C:\WINDOWS\system32\kddsl.dll
C:\WINDOWS\system32\kedit.dll
C:\WINDOWS\system32\kgdbu.dll
C:\WINDOWS\system32\khdkaz.dll
C:\WINDOWS\system32\kkdlt.dll
C:\WINDOWS\system32\kldru.dll
C:\WINDOWS\system32\krdlv.dll
C:\WINDOWS\system32\ktdfr.dll
C:\WINDOWS\system32\kudsw.dll
C:\WINDOWS\system32\l0l6la3s1d.dll
C:\WINDOWS\system32\lacmgr10.dll
C:\WINDOWS\system32\LJXBCE.DLL
C:\WINDOWS\system32\lv4009hme.dll
C:\WINDOWS\system32\lvlm0931e.dll
C:\WINDOWS\system32\lvn2095oe.dll
C:\WINDOWS\system32\m0280afued280.dll
C:\WINDOWS\system32\m446lehs1h46.dll
C:\WINDOWS\system32\m8nqli5518.dll
C:\WINDOWS\system32\mafutil.dll
C:\WINDOWS\system32\martdep.dll
C:\WINDOWS\system32\mcmefilt.dll
C:\WINDOWS\system32\mddxmlc.dll
C:\WINDOWS\system32\merecr40.dll
C:\WINDOWS\system32\mfr2cenu.dll
C:\WINDOWS\system32\mfvidc32.dll
C:\WINDOWS\system32\mgls31.dll
C:\WINDOWS\system32\micshext.dll
C:\WINDOWS\system32\miihnd.dll
C:\WINDOWS\system32\mkvcp50.dll
C:\WINDOWS\system32\mlasn1.dll
C:\WINDOWS\system32\mlricons.dll
C:\WINDOWS\system32\modtcprx.dll
C:\WINDOWS\system32\moise.dll
C:\WINDOWS\system32\mojet40.dll
C:\WINDOWS\system32\mrhtml.dll
C:\WINDOWS\system32\msxoci.dll
C:\WINDOWS\system32\mvc40.dll
C:\WINDOWS\system32\mwgentr.dll
C:\WINDOWS\system32\nxtid.dll
C:\WINDOWS\system32\onbcjt32.dll
C:\WINDOWS\system32\oqbcjt32.dll
C:\WINDOWS\system32\oqmanage.dll
C:\WINDOWS\system32\PA_PMP_TR_sdk_r.dll
C:\WINDOWS\system32\pCqsp.dll
C:\WINDOWS\system32\pgh.dll
C:\WINDOWS\system32\pqcn20.dll
C:\WINDOWS\system32\q0rq0a95ed.dll
C:\WINDOWS\system32\q4ps0e77eh.dll
C:\WINDOWS\system32\r6r6lg9s16.dll
C:\WINDOWS\system32\rhcrt4.dll
C:\WINDOWS\system32\rjutetab.dll
C:\WINDOWS\system32\rYsdlg.dll
C:\WINDOWS\system32\s0rs0a97ed.dll
C:\WINDOWS\system32\sbell32.dll
C:\WINDOWS\system32\sEmsrv.dll
C:\WINDOWS\system32\sjcpack.dll
C:\WINDOWS\system32\slesrv.dll
C:\WINDOWS\system32\snarddlg.dll
C:\WINDOWS\system32\srarddlg.dll
C:\WINDOWS\system32\srbiop.dll
C:\WINDOWS\system32\sTfrdm.dll
C:\WINDOWS\system32\sulsrv32.dll
C:\WINDOWS\system32\szncui.dll
C:\WINDOWS\system32\tad32.dll
C:\WINDOWS\system32\tjkwks.dll
C:\WINDOWS\system32\TXI32.dll
C:\WINDOWS\system32\vtdex.dll
C:\WINDOWS\system32\whnsrv.dll
C:\WINDOWS\system32\wii.dll
C:\WINDOWS\system32\wlvcore.dll
C:\WINDOWS\system32\wmapi.dll
C:\WINDOWS\system32\wndtrace.dll
C:\WINDOWS\system32\wpnetmgr.dll
C:\WINDOWS\system32\wthbth.dll
C:\WINDOWS\system32\wwiscmgr.dll
C:\WINDOWS\system32\zvpfldr.dll


Granting sedebugprivilege to Administratoren ... successful


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Install.dat
C:\WINDOWS\system32\bszip.dll
C:\WINDOWS\system32\cmd.com
C:\WINDOWS\system32\netstat.com
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\ping.com
C:\WINDOWS\system32\regedit.com
C:\WINDOWS\system32\taskkill.com
C:\WINDOWS\system32\tasklist.com
C:\WINDOWS\system32\tracert.com
C:\Programme\Gemeinsame Dateien\Yazzle1122OinUninstaller.exe
C:\Programme\Gemeinsame Dateien\Yazzle1162OinUninstaller.exe
C:\WINDOWS\system32\ixt0.dll
C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\NetMon
C:\Programme\Inetget2
C:\Programme\Ipwins
C:\Programme\Safety Bar
C:\Programme\winupdates
C:\Programme\Gemeinsame Dateien\{3078F13D-04AB-1031-0811-030918010031}
C:\WINDOWS\system32\ismini.exe
C:\WINDOWS\system32\components
C:\Programme\Gemeinsame Dateien\{6078F13D-04AB-1031-0811-030918010031}

~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

Folders Quarantined:

C:\QooBox\Purity\Dokumente und Einstellungen\Test\Anwendungsdaten\MANTEC~1
C:\QooBox\Purity\Dokumente und Einstellungen\Test\Anwendungsdaten\MANTEC~1\services.exe
C:\QooBox\Purity\Dokumente und Einstellungen\Test\Anwendungsdaten\MANTEC~1\??mantec
C:\QooBox\Purity\WINDOWS\system32\STEM32~1
C:\QooBox\Purity\WINDOWS\system32\STEM32~1\taskmgr.exe


((((((((((((((((((((((((((((((( Files Created from 2006-10-07 to 2006-11-07 ))))))))))))))))))))))))))))))))))


2006-11-05 23:53 692,276 ---hs---- C:\WINDOWS\system32\efcby.dll
2006-11-05 23:28 106,496 --------- C:\WINDOWS\system32\impgsje.dll
2006-11-05 23:24 2 --a------ C:\WINDOWS\system32\wintit.exe
2006-11-05 23:23 131,072 --a------ C:\WINDOWS\system32\bmnqcqnx.dll
2006-11-05 23:22 59,392 --a------ C:\WINDOWS\system32\drvzex.dll
2006-11-05 23:22 40,973 ---hs---- C:\WINDOWS\system32\khfcccy.dll
2006-11-05 23:22 34,844 --a------ C:\WINDOWS\system32\ISHOST.EXE.vir
2006-11-05 23:12 2,516 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2006-10-24 21:33 25,600 --a------ C:\WINDOWS\system32\drivers\usbser.sys
2006-10-18 14:44 50,912 --a------ C:\WINDOWS\iconu.exe
2006-10-16 21:56 42,736 --a------ C:\WINDOWS\icont.exe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-11-07 21:23 -------- d-------- C:\Programme\Gemeinsame Dateien
2006-11-07 21:13 -------- d-------- C:\Programme\Mozilla Firefox
2006-11-07 21:12 -------- d-------- C:\Programme\Microsoft AntiSpyware
2006-11-06 17:25 -------- d-------- C:\Programme\CleanUp!
2006-11-05 23:49 -------- d-------- C:\Programme\VirusBursters
2006-11-05 23:12 -------- d-------- C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Corel
2006-11-05 23:10 -------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2006-11-05 23:10 -------- d-------- C:\Programme\Gemeinsame Dateien\Designer
2006-11-05 23:03 -------- d-------- C:\Programme\Gemeinsame Dateien\Corel
2006-11-05 23:03 -------- d-------- C:\Programme\Corel
2006-11-05 22:42 -------- d-------- C:\Programme\SFT Loader
2006-10-25 11:22 -------- d-------- C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Macromedia
2006-10-25 11:19 -------- d-------- C:\Programme\Gemeinsame Dateien\Macromedia
2006-10-24 22:11 -------- d-------- C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Help
2006-10-24 21:41 -------- d--h----- C:\Programme\InstallShield Installation Information
2006-10-24 21:34 -------- d-------- C:\Programme\Motorola
2006-10-20 15:09 -------- d---s---- C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Microsoft
2006-10-09 00:03 -------- d-------- C:\Dokumente und Einstellungen\Test\Anwendungsdaten\Font Fitting Room Deluxe
2006-10-05 22:22 -------- d-------- C:\Programme\SmartFTP Client 2.0 Setup Files
2006-10-05 22:22 -------- d-------- C:\Programme\SmartFTP Client 2.0
2006-10-03 19:43 235863 -r--s---- C:\WINDOWS\system32\hrrq0595e.dll
2006-09-17 09:52 -------- d-------- C:\Programme\MSN Messenger
2006-09-13 06:02 1084416 --a------ C:\WINDOWS\system32\msxml3.dll
2006-08-25 16:46 617472 --a------ C:\WINDOWS\system32\comctl32.dll
2006-08-21 13:26 16896 --a------ C:\WINDOWS\system32\fltlib.dll
2006-08-21 10:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe
2006-08-16 12:58 100352 --a------ C:\WINDOWS\system32\6to4svc.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"
"Arcor Online"=""
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"gcasServ"="\"C:\\Programme\\Microsoft AntiSpyware\\gcasServ.exe\""
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"Arcor Online"=""
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\ISUSPM.exe\" -startup"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
ff,ff,04,00,00,00
"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3}"="archenteric"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"Wallpaper"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"NoActiveDesktop"=dword:00000000
"ClassicShell"=dword:00000000
"ForceActiveDesktopOn"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"
"archenteric"="{d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X1100 Series]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="lxbkbmgr"
"hkey"="HKLM"
"command"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"command"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTVOICE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="pctspk"
"hkey"="HKLM"
"command"="pctspk.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SiSUSBRG]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="SiSUSBrg"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\SiSUSBrg.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Programme\\Java\\jre1.5.0_02\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\system]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="letsroll"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\letsroll.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WebClient"=dword:00000002

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\efcby

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

Completion time: 06-11-07 21:23:41.00
C:\ComboFix.txt ... 06-11-07 21:23


DatFind.bat Log(system32.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6078-F13D

Verzeichnis von C:\WINDOWS\system32

08.11.2006 12:14 575.695 ybcfe.ini
07.11.2006 23:24 110.612 kwhsomsq.exe
07.11.2006 23:23 574.053 ybcfe.bak2
06.11.2006 00:22 332.280 FNTCACHE.DAT
05.11.2006 23:53 692.276 efcby.dll
05.11.2006 23:28 106.496 impgsje.dll
05.11.2006 23:28 4.286 ot.ico
05.11.2006 23:28 4.286 ts.ico
05.11.2006 23:24 2 wintit.exe
05.11.2006 23:22 34.844 ISHOST.EXE.vir
05.11.2006 23:22 59.392 drvzex.dll
05.11.2006 23:22 40.973 khfcccy.dll
05.11.2006 23:18 2.516 KGyGaAvL.sys
30.10.2006 16:39 2.206 wpa.dbl
29.10.2006 15:52 311.604 perfh009.dat
29.10.2006 15:52 39.992 perfc009.dat
29.10.2006 15:52 316.594 perfh007.dat
29.10.2006 15:52 48.156 perfc007.dat
29.10.2006 15:52 723.744 PerfStringBackup.INI
25.10.2006 14:20 131.072 bmnqcqnx.dll
04.10.2006 21:03 9.639.336 MRT.exe
03.10.2006 19:43 235.863 hrrq0595e.dll
03.10.2006 18:41 248 systemdrv32.aso
13.09.2006 06:02 1.084.416 msxml3.dll
04.09.2006 07:12 1.494.016 shdocvw.dll
25.08.2006 16:46 617.472 comctl32.dll
21.08.2006 13:26 16.896 fltlib.dll
21.08.2006 10:14 23.040 fltmc.exe
16.08.2006 12:58 100.352 6to4svc.dll
29.07.2006 18:32 48.936 sirenacm.dll
28.07.2006 12:28 3.075.072 mshtml.dll
27.07.2006 14:25 679.424 inetcomm.dll
25.07.2006 21:33 615.936 urlmon.dll
21.07.2006 09:29 72.704 hlink.dll
14.07.2006 16:38 332.288 netapi32.dll
14.07.2006 16:25 546.304 hhctrl.ocx
13.07.2006 14:34 8.494.592 shell32.dll
05.07.2006 11:55 1.057.792 kernel32.dll
04.07.2006 01:09 47.878 list.txt


DatFind.bat Log(systemtemp.txt)


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6078-F13D

Verzeichnis von C:\DOKUME~1\Test\LOKALE~1\Temp

08.11.2006 12:06 16.384 ~DF727E.tmp
08.11.2006 12:04 32.768 ~DF6816.tmp
07.11.2006 21:53 59.964 Adobelm_Cleanup.0001
07.11.2006 21:51 893 TWAIN.LOG
07.11.2006 21:51 2 Twain001.Mtx
07.11.2006 21:51 156 Twunk001.MTX
07.11.2006 21:51 0 Twunk002.MTX
07.11.2006 21:35 3.485 msiutil(1).log
07.11.2006 21:24 32.768 ~DFDDD3.tmp
9 Datei(en) 146.420 Bytes
0 Verzeichnis(se), 10.836.779.008 Bytes frei

DatFind.bat Log(windows.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6078-F13D

Verzeichnis von C:\WINDOWS

08.11.2006 12:07 1.195.340 WindowsUpdate.log
08.11.2006 12:06 159 wiadebug.log
08.11.2006 12:05 50 wiaservc.log
08.11.2006 12:04 0 0.log
08.11.2006 12:04 2.048 bootstat.dat
07.11.2006 23:51 32.634 SchedLgU.Txt
07.11.2006 20:46 954.867 setupapi.log
01.11.2006 14:36 52.016 wmsetup.log
29.10.2006 23:25 49 NeroDigital.ini
24.10.2006 22:57 11.532 ModemLog_Motorola USB Modem.txt
22.10.2006 14:34 914 win.ini
18.10.2006 14:44 50.912 iconu.exe
17.10.2006 21:44 42.736 icont.exe
12.10.2006 15:37 631.764 iis6.log
12.10.2006 15:37 195.473 comsetup.log
12.10.2006 15:37 117.445 ntdtcsetup.log
12.10.2006 15:37 259.154 tsoc.log
12.10.2006 15:37 30.893 ocmsn.log
12.10.2006 15:37 1.393 imsins.log
12.10.2006 15:37 28.309 tabletoc.log
12.10.2006 15:37 13.612 KB924191.log
12.10.2006 15:37 274.144 ocgen.log
12.10.2006 15:37 98.029 netfxocm.log
12.10.2006 15:37 39.050 MedCtrOC.log
12.10.2006 15:37 28.094 msgsocm.log
12.10.2006 15:37 550.625 FaxSetup.log
12.10.2006 15:37 174.746 msmqinst.log
12.10.2006 15:37 39.070 updspapi.log
12.10.2006 15:37 1.393 imsins.BAK
12.10.2006 15:37 13.279 KB922819.log
12.10.2006 15:37 11.497 KB923414.log
12.10.2006 15:37 11.444 KB924496.log
12.10.2006 15:36 8.865 KB923191.log
12.10.2006 12:11 411 musicmaker.INI
06.10.2006 16:10 227 pwcd.INI
06.10.2006 16:05 32 pwcud.INI
26.09.2006 22:24 11.422 KB925486.log
14.09.2006 17:14 13.109 KB920685.log
14.09.2006 17:14 14.992 KB920872.log
14.09.2006 17:14 13.269 KB919007.log
14.09.2006 17:14 9.177 KB922582.log
15.08.2006 22:51 15.278 KB920214.log
15.08.2006 22:51 15.678 KB922616.log
15.08.2006 22:50 16.143 KB921398.log
15.08.2006 22:47 19.076 KB918899.log
15.08.2006 22:46 14.284 KB920670.log
15.08.2006 22:46 12.384 KB917422.log
15.08.2006 22:46 12.606 KB920683.log
10.08.2006 14:04 11.215 KB921883.log
12.07.2006 02:05 11.906 KB917159.log
12.07.2006 02:04 12.436 KB914388.log
12.07.2006 02:03 10.550 KB916595.log



DatFind.bat Log(temp.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6078-F13D

Verzeichnis von C:\WINDOWS\Temp



DatFind.bat Log(down.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6078-F13D

Verzeichnis von C:\WINDOWS\Downloaded Program Files

17.05.2006 14:32 161.480 rufsi.dll
17.05.2006 14:29 241 CabSA.inf
23.12.2005 00:41 1.612.000 NpFp415.dll
23.12.2005 00:21 682.200 NpFv415.dll
03.11.2005 20:24 495 LegitCheckControl.inf
11.08.2005 16:30 417.792 isusweb.dll
31.03.2005 12:45 65 desktop.ini
09.02.2005 16:54 1.271 erma.inf
19.12.2003 17:02 126.976 popcaploader.dll
19.12.2003 15:43 241 popcaploader.inf
08.12.2003 12:58 3.759 swflash.inf
29.05.2003 14:00 160.864 messengerstatsclient.dll
25.07.2002 18:13 24.576 dwusplay.dll
25.07.2002 18:13 196.608 dwusplay.exe
14 Datei(en) 3.388.568 Bytes
0 Verzeichnis(se), 10.836.484.096 Bytes frei


DatFind.bat Log(down.txt)

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 6078-F13D

Verzeichnis von C:\

08.11.2006 12:22 0 sys.txt
08.11.2006 12:21 961 down.txt
08.11.2006 12:21 117 tmp.txt
08.11.2006 12:19 10.217 system.txt
08.11.2006 12:18 696 systemtemp.txt
08.11.2006 12:14 100.733 system32.txt
08.11.2006 12:13 4.564 vm404.log
08.11.2006 12:04 133.746.688 hiberfil.sys
08.11.2006 12:04 314.572.800 pagefile.sys
07.11.2006 21:23 18.240 ComboFix.txt
24.10.2006 21:42 0 DBS.TXT
03.09.2006 18:26 268 sqmdata02.sqm
03.09.2006 18:26 244 sqmnoopt02.sqm
13.07.2006 01:48 280 sqmdata01.sqm
13.07.2006 01:48 244 sqmnoopt01.sqm

Vielen Dank im Vorraus
Seitenanfang Seitenende
08.11.2006, 13:46
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 1.
scanne mit Vundofix
http://virus-protect.org/artikel/tools/vundofixx.html

2.
Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3}
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload|archenteric

registry keys to delete:
HKLM\software\microsoft\shared tools\msconfig\startupreg\system
HKLM\software\microsoft\windows nt\currentversion\winlogon\notify\efcby
HKLM\SOFTWARE\Microsoft\MSSMGR
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Yazzle1122Oin

Files to delete:
C:\WINDOWS\system32\ybcfe.ini
C:\WINDOWS\system32\kwhsomsq.exe
C:\WINDOWS\system32\ybcfe.bak2
C:\WINDOWS\system32\efcby.dll
C:\WINDOWS\system32\impgsje.dll
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\wintit.exe
C:\WINDOWS\system32\ISHOST.EXE.vir
C:\WINDOWS\system32\drvzex.dll
C:\WINDOWS\system32\khfcccy.dll
C:\WINDOWS\system32\bmnqcqnx.dll
C:\WINDOWS\system32\hrrq0595e.dll
C:\WINDOWS\system32\systemdrv32.aso
C:\WINDOWS\iconu.exe
C:\WINDOWS\icont.exe

Folders to delete:
C:\Programme\VirusBursters

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
loesche das Backup vom Avenger unter C:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html

_____________

öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)

O21 - SSODL: archenteric - {d7bdd42a-7e69-4bb8-aac3-d76ff65a3aa3} - C:\WINDOWS\system32\impgsje.dll
««
scanne und poste den scanreport
http://virus-protect.org/ewido.html
__________
MfG Sabina

rund um die PC-Sicherheit
Dieser Beitrag wurde am 08.11.2006 um 13:52 Uhr von Sabina editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: